パスワードを忘れた? アカウント作成

こちらは、srad.jpさんのユーザページですよ。 Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13499995 comment

srad.jpのコメント: ×中国の場合 ○日本・アメリカ・ヨーロッパの場合 (スコア 1) 47

こういうのに紛れて反体制的とされるサイト関係先にガサ入れが入っててもなんもおかしくなさそうな…

中国には表現の自由と言われるものが存在しておらず、中国政府批判が処罰の対象なのは自国の国民が誰でも知っている公知の事実。
なのでこういうのに紛らせてガサ入れする必要は全くありません。

「こういうのに紛れて反体制的とされるサイト関係先にガサ入れ」するのは、表向きは表現の自由が保証されているけど、本当に政府に都合の悪い言動には圧力をかけて弾圧することもある日本・アメリカ・ヨーロッパ諸国の方です。

日本は、政権に批判的な言論に対しては公安警察から圧力を受け、勤務先へ押しかけるなどの嫌がらせをしますので、「普通のサラリーマン」が政治的活動・デモ等に参加できないような環境を作り出しています。

中国は表現の自由がないけど、日本にはあるというのは誤りですよ。中国よりは遥かに自由度が高いものの、日本でも表現の理由は迫害されている。そして、日本と中国の自由度の差は徐々に縮んでいっているというのが正しい理解です。

中国は経済的発展による経済格差減少に基づいて表現の自由が拡大していってますけど、日本はむしろ弾圧が強くなっていってます。

日本のプロバイダは児童ポルノ対策を理由にブロッキングしてるし児童ポルノのブロッキング、IPアドレスも対象にする方針とのこと。リストは、一般には公開されていないから言論弾圧に使われても検証不可能だし、共有サーバ上に児童ポルノ画像が含まれていることにすればいくらでも政治サイトのブロッキングが可能。これから「漫画村」やアニメ・サブカル関係の著作権侵害理由にブロッキングを広げていったら、そのうち日本版の「金盾」ができあがって中国を笑えない状況になりますよ。

安倍「言論表現弾圧事件」

 「原発廃炉に賛成?反対?」。安倍晋三首相の街頭演説で、女性(40)がこんな質問ボードを掲げようとして、没収された。掲げる前に、自民党スタッフや警察官を名乗る男性4人に取り上げられた。(略)
 「事件」が起きたのは、参院選公示日の四日。女性は、JR福島駅前で行われた安倍首相の第一声を聞きに行った。持っていたボードはA3判サイズ。「総理、質問です。原発廃炉に賛成?反対?」と印字した紙を段ボールに貼り付けた。(略)
 演説開始の前に、男性四人が取り囲んだ。一人は「警察の者ですが」と名乗った。別の一人は「ここは演説会で、国会とか質問して応答する場じゃないですから」ととがめた。自民党スタッフの名刺を差し出した男性はボードを「一時預かる」と持ち去った。
 男性たちは「どういうアレですか、どちらから来られたんですか」と質問を続け、「連絡先を教えて」と執拗に迫った。女性の住所や名前を聞き出してメモした。女性は、「もう帰りますから」と泣きながらその場を立ち去った。女性が演説を撮影しようとしたスマートフォンの動画に、一連の様子の一部が記録された。
 「連絡先をしつこく聞かれ、本当に怖かった。逮捕されるのではと思うくらいだった」と女性は振り返る。ボードは一週間後の十一日、教えていないはずの女性の勤務先宛に、郵送で返却された。(略)

25、司法・警察/2009年総選挙《各分野政策》 /日本共産党

警察は、不偏不党の立場で警察の責務をはたし、いやしくも国民の基本的人権を侵害することがあってはならないと、警察法できびしくさだめられています。ところが警察は、本来の責務に反して、各階層・分野の国民的運動や日本共産党にたいするスパイ活動を秘密裏に組織的継続的におこなっています。国公法弾圧堀越事件では、警視庁公安部と月島署の公安警察官が29日間にわたり、のべ171人が、国家公務員個人の立ちより先や交友関係を尾行、スパイし、休日、職務とまったく無関係に地域で「しんぶん赤旗」号外等を配布した行為を、多いときで11名、ビデオカメラ6台、自動車4台で「捜査」していました。

13485582 comment

srad.jpのコメント: Mailsploit 脆弱性の悪用? (スコア 1) 47

・「送信元のアドレスは画面表示上、担当者のものと同じだった」
https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html

メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける

今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通

Mailsploit 脆弱性の悪用 かもしれませんね

Vendors affected by Mailsploit の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被害は続くかもしれません。

FIXED AS OF 11 DEC. 2017 (IN TB 58 BETA 2)

GOOD NEWS! Mozilla fixed the issue and will be available soon in Thunderbird. https://bugzilla.mozilla.org/show_bug.cgi?id=1423432 Original discussion was over email using PGP and resulted in a WON'T FIX. No bugzilla report was made.

MailsploitでFrom詐称どころかXSS/Code Injection発生のメーラーが多数、いまだに未パッチのメーラーが多い現状を考えると、PGPやS/MIME使うか、お互いGmailでも使ってた方が安全ですね

13477574 comment

srad.jpのコメント: 【㍾ ㍽】 組み文字使っているシステムは大変そう 【㍼ ㍻】 (スコア 1) 213

・Unicode だと ㍻ ㍼ ㍽ ㍾ の前後空いてないけど、新元号は何処に追加するのだろう?
 もし ㍾ より後ろに追加されたら、㍻ ㍼ ㍽ ㍾ 新元号 という順番になってしまい、
 ㍻13.12.23 のような形式の日時を文字コード順にソートした際、新元号が㍾より過去の元号と扱われてしまう

・Unicodeへの文字の追加とIMEのアップデートが2019年5月1日までに間に合うだろうか?

・いっそのことデータベースのカラムを追加して 明治=1 大正=2 昭和=3 平成=4 新元号=5 みたいな数字化した方が良いかな?
 でも、Unicode の ㍻ より前に新元号がきちんと追加され、IMEのアップデートも間に合ったら、
 その工数が全部無駄になってしまう

悩みが尽きないでしょうね

13475214 comment

srad.jpのコメント: Re:Thunderbird開発者は24時間以内にパッチを用意すると表明 (スコア 1) 65

情報ありがとうございます。
Mailsploit 脆弱性は 2017年8月21日 に Mozilla へ報告され「対応しない」という返答をもらった ようですが、方針が変わったのですね。
Thunderbirdのアップデート機能からはまだパッチを受け取れないようですがそろそろ公開されるかもしれません。

13475208 comment

srad.jpのコメント: Re:Mozilla Thunderbird は MTA が悪いから対策する気がないと表明 (スコア 1) 65

何のバリエーションなのかと思ったらひょっとしてバリデーションですかね…

IMEで「バリ」と打った時の予測候補を信頼したら、文脈上誤った文字列がスラド投稿フォームにインジェクションされてしまったようです。IMEの飼い主としてお詫びします。

NULなんて言語(ライブラリ)で面倒見るべきってのはいうてもまぁ妥当なんじゃないかな…

使おうとする関数がバイナリセーフかを確認するのはプログラマーの責任だと思います。それが面倒なら、すべての関数がバイナリセーフである言語やライブラリを使うべきでしょう。

13475196 comment

srad.jpのコメント: Re:Mozilla Thunderbird は MTA が悪いから対策する気がないと表明 (スコア 4, 参考になる) 65

あまりにもレベルの低い、C言語入門レベルの知識が無いことに起因する脆弱性である根拠を書いとく。

From: =?utf-8?b?cG90dXNAd2hpdGVob3VzZS5nb3Y=?==?utf-8?Q?=00?==?utf-8?b?cG90dXNAd2hpdGVob3VzZS5nb3Y=?=@example.com

というヘッダーがあると、DKIMやSenderIDの検証時には example.com が送信元だと判断され、「example.com」に対応する電子署名があれば正規のメールだと認証される。

From には差出人名(日本語など)も入っているので当然表示前には、上記ヘッダーを Base64 デコードされる。すると、

From: potus@whitehouse.gov\0(potus@whitehouse.gov)@example.com

となる。「\0」はアスキーの NUL バイトなんだけど、その処理系の関数がバイナリセーフでないC言語系関数だと \0 以降は無視される。結果、

From: potus@whitehouse.gov

になり、example.com から送信されたメール (送信元はDKIM署名等で認証)なのに、potus@whitehouse.gov からのメールだと表示される。

これを Mozilla Thunderbird は、MTA の問題だという馬鹿な主張をしている。バイナリセーフでない関数に信頼できないデータを突っ込む前に、バイナリセーフ関数で NUL バイトその他の制御コードをバリデーションするべき。

13475181 comment

srad.jpのコメント: Mozilla Thunderbird は MTA が悪いから対策する気がないと表明 (スコア 0) 65

C言語系の言語だと NUL (\x00) を文字列の終了とみなして勝手に処理を打ち切るとか色々問題起こるので、NULLバイトとかASCIIの制御文字はバリエーションで弾くのが常識だと思ってたけど、いまだにこんなレベルの低い脆弱性が主要MUAにあったとは驚き。

今はどうだか知らんが、10年ぐらい前はphpでもC言語系の非バイナリセーフ関数が入り乱れてて ereg() ですらNUL文字以降が無視されたからバリエーション回避に悪用されたし、ディレクトリトラバーサルもやり放題だったから、入力値は受け取った時点で \x00 が含まれていないことをバイナリセーフ関数で確認するのが常識だった。NULバイト対策をやらないと掲示板とかのメールフォームレベルのphpスクリプトですらクラッカーに荒らされて滅茶苦茶にされた時代があった。

なのに、最近の若いプログラマーときたら、フレームワークにばっか頼っててC言語の基礎の基礎(ほんとの入門レベル)すら理解していないから、NULバイトを非バイナリセーフ関数にぶち込むような馬鹿な真似を平気でするのだろう。

特に Thunderbird はメールヘッダーのNULバイトを排除しないのはMTAの責任だと主張して、脆弱性を修正しないことを決定する始末で恥の上塗りをしているようだけど、外部から受け取った文字列のNULバイトを排除していないとなると、C言語系の言語ではあらゆる関数でNULバイト問題が生じるので、表示偽装に留まらずこれから致命的な脆弱性が複数発見されていくことになるだろう。

13475116 comment

srad.jpのコメント: ついに Google が検索結果の人為的な操作を始めた? (スコア 1, フレームのもと) 28

医療系のキーワードのゴミ検索結果は余りにも酷い状況で Google Dance Tokyo 2017 で対応を約束し、日本のみの独自の対策をしたわけですけど、

と、前例がないアップデートです。パンダアップデート・ペンギンアップデートもインパクトのある検索結果変動が生じたけど、

  • 日本だけ
  • 医療カテゴリーだけ
  • それも特定のサイトやキーワードだけ狙い撃ちされてて、同じような構成のサイトでも順位に変化無しのとこもある

と普通のアルゴリズムの改善とは思えないような結果変動なので、日本法人が暴走して

  • skincare-univ.com とか ishamachi.com など評判の悪い特定のドメイン名のドメインパワーを手動で弄って下方修正
  • 医療系のキーワードの一覧を手動で作って、そのキーワードにおいてのみ特定のアルゴリズム、例えば .go.jp (厚生労働省等)、ac.jp (大学病院など)、病院の公式サイトに加点などのアルゴリズムを発動させる

みたいなGoogleでは禁忌とされていた人為的な検索結果の操作についに手を出してしまった(Google はアルゴリズムの改良で検索結果の質を高めるべきだというポリシーで、特定ドメインやキーワードの検索結果を手動で弄ることは禁忌)ように思えます。

Google 日本法人はレベルが低く、グーグル日本法人「急上昇ワード」の汚い宣伝手法で自滅 のように Google のポリシーで禁止されていることを平気でやってしまい、謝罪に追い込まれた前科があります。

13465560 comment

srad.jpのコメント: Re:「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア 1) 49

わからないのは

「北朝鮮の話から急に日本の(ですよね)外務省に話が飛んでるのか」

ってところです。

このストーリーのソース に『日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。』とあるからです。

  1. 日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」とコメントしている。
  2. PGPなどでEnd-to-End暗号化している限り、「フリーメールでは危なくて機密のやり取りができない」ということにはならない。
  3. 本文の暗号化の有無に触れずに「フリーメールでは危ない」とコメントしていることから、日本の外務省の通信業務担当者はメール本文をPGP等で暗号化するという発想自体がない。故に、日本の外務省の通信業務担当者は、機密のやり取りをする際にPGP等での暗号化をしていないと推定される。

という三段論法です。

13465514 comment

srad.jpのコメント: 「外務省の通信業務担当者」は End-to-End 暗号化をせず機密をやり取りしてる? (スコア 3, 興味深い) 49

一方、北朝鮮の一部在外大使館では、無料で手軽に使えるものの、IDとパスワードを盗まれると内容をのぞき見される恐れがある「Gmail」や「Hotmail」などのメールサービスが利用されていることも分かった。(北朝鮮、サイバー攻撃に力も国内パソコンがウイルス大量感染 大使館は機密守れぬフリーメール使用

産経記者って、GmailやHotmailが「IDとパスワードを盗まれると内容をのぞき見される」のを防ぐ二段階認証に対応しているのすら知らんの?

問題なのは、ITとパスワードを盗まれなくても、北朝鮮の敵国のNSAやCIAに内容をのぞき見される恐れのあるメールサービスなことでしょ。

日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。

GmailもHotmailもMUA-MTA間だけじゃなくて、MTA間のTLS暗号化通信に対応していて、二段階認証にも対応と、有料サービスと同等以上のセキュリティがある。それにフリーメールかどうかは、サービス提供者が機密を奪い取るかどうかとは無関係。GoogleはGmailの広告のマッチングは自社で機械的にやって外部に情報出さないとしている、Microsoftはメール内容によるターゲットマッチ広告はやってないと主張してる。その主張が信用できないなら、GoogleやMicrosoft自体が信用できないってことなんだから、有料サービスのG Suite (Google Apps for Work)、Office 365 も同様に危険。

お役人だと、日○とか富士○とかのSIerに丸投げして独自のシステム作ってもらってるのかな? その下請けのレベルが低くて脆弱性が紛れ込んでたり、スパイや工作員が紛れ込んでたりするかもしれないし、Gmailの方がまだ安全だと思う(笑) Gmailならアメリカの諜報機関に情報を盗まれるだけで済むけど、低レベルな下請けに丸投げするSIerに依頼すると、中○や韓○などからもスパイされるシステムになりかねない。

てか、「フリーメールでは危なくて機密のやり取りができない」なんていういうコメントを平気でできるってことは、機密保持をメールサービスに依存しているわけで、外務省では PGP 等の End-to-End 暗号化は使わず機密のやり取りをしてるんでしょうね。

メールを誰に送ったという事実自体が機密(End-to-End暗号化が不可能なメールヘッダーが機密)なら、それこそお互いが匿名でフリーメールアカウントを取得してやり取りしたほうが安全(本文はPGP暗号化)。

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...